Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Немного непонятно... 04.03.05 11:11 Число просмотров: 1579
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 04.03.05 11:12 Количество правок: 1
|
> вобщем я там теперь сам n0xi0uz . Вызвано твоими
> героическими вырезаниями XXX и, видимо, проверкой
> существования юзера до фильтрации из его ника символов.
что вы подразумеваете под "ХХХ"? :)
> А ты, вместо того чтобы при выводе в урле urlencode
> натравить на параметры и href нормальный с кавычками
> сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто
> "XXX" вырезал - хотя вполне нормальный символ для имени
> хехех..
я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
|
|
<miscellaneous>
|
Нужны тестеры для самописного форума. 21.02.05 10:30
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
Дописал форум, сейчас он находится в стадии тестирования. Но сложно самому выловить все ошибки и недочёты. Поэтому прошу ваш протестировать мой форум, который сейчас находится по адресу http://forum.npage.net.ru/
Жду ваших предложений - что убрать, что добавить, что исправить или переделать.
Заранее благодарен ;).
|
|
Дубль два. 02.03.05 10:06
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
Исправил указанные ошибки, добавил кое-какие улучшения.
Прошу вас протестить форум ещё раз.
Тем, кто захочет протестить модераторскую или админскую часть - просьба оставить заявку на форуме, и я повышу вам ваш уровень доступа на форуме.
Ещё раз спасибо ;).
|
| |
Дубль два хехехе - XSS в имени юзера 02.03.05 14:16
Автор: paganoid Статус: Member
|
> Исправил указанные ошибки, добавил кое-какие улучшения.
> Прошу вас протестить форум ещё раз.
> Тем, кто захочет протестить модераторскую или админскую
> часть - просьба оставить заявку на форуме, и я повышу вам
> ваш уровень доступа на форуме.
> Ещё раз спасибо ;).
См. список пользователей, поводи по урлам мышой.
Не урленкодить урлы - страшный моветон хихи.
|
| | |
Исправил. Вроде бы... 04.03.05 09:40
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
Проверьте ещё раз, плз.
А есть ли какая-нибудь литература по безопасному cgi-программированию?
Какие символы в переменных надо фильтровать? (или лучше обратиться с этим вопросом в другой раздел?)
|
| | | |
новые дыры... 04.03.05 10:35
Автор: paganoid Статус: Member
Отредактировано 04.03.05 10:58 Количество правок: 2
|
> Проверьте ещё раз, плз.
> А есть ли какая-нибудь литература по безопасному
> cgi-программированию?
> Какие символы в переменных надо фильтровать? (или лучше
> обратиться с этим вопросом в другой раздел?)
вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.
Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.
вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.
Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.
ТО
жизнь сайта станет гораздо легче, но скушнее.
А ЕСЛИ
не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)
А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
|
| | | | |
Немного непонятно... 04.03.05 11:11
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 04.03.05 11:12 Количество правок: 1
|
> вобщем я там теперь сам n0xi0uz . Вызвано твоими
> героическими вырезаниями XXX и, видимо, проверкой
> существования юзера до фильтрации из его ника символов.
что вы подразумеваете под "ХХХ"? :)
> А ты, вместо того чтобы при выводе в урле urlencode
> натравить на параметры и href нормальный с кавычками
> сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто
> "XXX" вырезал - хотя вполне нормальный символ для имени
> хехех..
я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
|
| | | | | |
подразумеваю символ = , который не назвал своим именем, дабы... 04.03.05 11:16
Автор: paganoid Статус: Member
|
> > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > героическими вырезаниями XXX и, видимо, проверкой
> > существования юзера до фильтрации из его ника
> символов.
> что вы подразумеваете под "ХХХ"? :)
подразумеваю символ = , который не назвал своим именем, дабы каждый кому не лень, как я
не стал n0xi0uz'ом ;)
> я так понимаю, urlencode() - это функция в PHP, как она
> относится к моему Perl-скрипту? Поясните тут пожалуйста.
Это общий метод кодирования спецсимволов в URL RFC1738. Наверняка
имеется такая ф-я и в пёрле, не может не быть.
|
| | | | | | |
Ясненько. 04.03.05 11:31
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
> > > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > > героическими вырезаниями XXX и, видимо,
> проверкой
> > > существования юзера до фильтрации из его ника
> > символов.
> > что вы подразумеваете под "ХХХ"? :)
>
> подразумеваю символ = , который не назвал своим именем,
> дабы каждый кому не лень, как я
> не стал n0xi0uz'ом ;)
Это вроде исправил, - теперь проверка существования юзера происходит после фильтрации переменной, содержащей его логин.
> > я так понимаю, urlencode() - это функция в PHP, как
> она
> > относится к моему Perl-скрипту? Поясните тут
> пожалуйста.
>
> Это общий метод кодирования спецсимволов в URL RFC1738.
> Наверняка
> имеется такая ф-я и в пёрле, не может не быть.
Да, гугль мне помог, - функция, действительно есть. Так что скоро и ссылки поправлю.
Спасибо за помощь! ;) Ещё есть замечания?
|
| | | | | | | |
замечания.. 04.03.05 16:08
Автор: paganoid Статус: Member
|
> Спасибо за помощь! ;) Ещё есть замечания?
скоро совсем тебе там все развалю хыхы
Ну еще имеет место быть посылка сообщений от чужого имени ( {input type=hidden name=uname value=test1>}меняешь и ура), XSS там же , лечение - не использовать hidden поля.
javascript ссылки в "адрес сайта", лечение - разбор урлы, отсечение схем кроме http
опечаточка "Колчество сообщений" в кабинете..
|
| | | | | | | | |
Исправления... 09.03.05 02:45
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 02:46 Количество правок: 1
|
> > Спасибо за помощь! ;) Ещё есть замечания?
>
> скоро совсем тебе там все развалю хыхы
Только рад буду :). Честно, - чем больше ошибок Вы находите, тем для форума лучше ;).
> Ну еще имеет место быть посылка сообщений от чужого имени (
> {input type=hidden name=uname value=test1>}меняешь и
> ура), XSS там же , лечение - не использовать hidden поля.
Исправил.
> javascript ссылки в "адрес сайта", лечение - разбор урлы,
> отсечение схем кроме http
Чего не надо допускать в ссылке, чтобы обезопасить её от javascript?
> опечаточка "Колчество сообщений" в кабинете..
Исправил ;).
Ещё раз спасибо за помощь! ;)
|
| | | | | | | | | |
Ошибки... 09.03.05 10:47
Автор: paganoid Статус: Member
|
> > > Спасибо за помощь! ;) Ещё есть замечания?
> >
> > скоро совсем тебе там все развалю хыхы
> Только рад буду :). Честно, - чем больше ошибок Вы
> находите, тем для форума лучше ;).
мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))
>
> > Ну еще имеет место быть посылка сообщений от чужого
> имени (
> > {input type=hidden name=uname value=test1>}меняешь
> и
> > ура), XSS там же , лечение - не использовать hidden
> поля.
>
> Исправил.
Зер гуд
>
> > javascript ссылки в "адрес сайта", лечение - разбор
> урлы,
> > отсечение схем кроме http
>
> Чего не надо допускать в ссылке, чтобы обезопасить её от
> javascript?
давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить
>
> > опечаточка "Колчество сообщений" в кабинете..
>
> Исправил ;).
> Ещё раз спасибо за помощь! ;)
Далее ошибки..
когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.
Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS
Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..
Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.
Юзер с пустым именем (вводишь = и поехали)..
|
| | | | | | | | | | |
Исправления... 09.03.05 14:25
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 14:28 Количество правок: 1
|
>
> мне, конечно, лестно что ты меня прям так на "Вы", но не
> настолько
> уж я и нагадил, чтоб от меня такую дистанцию держать ;))
OK, перехожу на "ты" ;).
> > > javascript ссылки в "адрес сайта", лечение -
> разбор
> > урлы,
> > > отсечение схем кроме http
> >
> > Чего не надо допускать в ссылке, чтобы обезопасить её
> от
> > javascript?
>
> давать начинаться только с http:// и урленкодить
> урленкодить урленкодить урленкодить урленкодить урленкодить
>
Исправлено.
>
> Далее ошибки..
>
> когда выводятся значения полей внутрь input value="" , не
> ескейпятся html символы. Т.ч ввести имя к примеру в личном
> кабинете >>Василий "бронебойный"<< не удается.
> Т.е. удается, но все имя не показывается.
"не ескейпятся"="не убираются"? Или как? :) Поясни, пожалуйста тут, а то непонятно, что нужно делать, чтобы исправить ;).
> Далее. Urlencode ты по прежнему игнорируешь, со всеми
> вытекающими. К примеру, завел я узера n0xi0uzz"boom ,
> тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Исправлено.
> Когда выводятся данные по пользователю, нет урленкода, т.ч.
> там тож разгул XSS
Исправлено.
> Он же, урленкод..
> имя пользователя test" disabled " - и данные юзера
> нельзя просмотреть, ибо ссылка задизяблена..
Исправлено
> Далее - спуф админского имени - заводишь юзера "n0xi0uzz "
> (без кавычек) и получается похожий чел.
А нужно ли запрещать ники, похожие на админские? ;)
> Юзер с пустым именем (вводишь = и поехали)..
>
Исправлено.
Долго мучался с urlencode, исправляя все ссылки :).
Кстати, саму функцию пришлось самому писать, вот она:
sub urlencode {
my $URLencode=shift;
$URLencode=~s/([^0-9A-Za-z_ ])/'%'.unpack('H2',$1)/ge;
$URLencode=~s/\s/+/g;
return $URLencode;
}
---
Спасибо за помощь ;).
|
|
XSS в email и url - не фильтруются " со всеми вытекающими 21.02.05 18:33
Автор: paganoid Статус: Member
|
|
|
| |
где именно? при регистрации? или при изменении личной информации? 22.02.05 02:04
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
|
|
| | |
Правь везде ) кстати, а что с тегами типа . Их использование в постах внедрять будешь? 22.02.05 09:42
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
|
| | | |
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b],... 22.02.05 10:07
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
|
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b], [i] и т.п.)... Сейчас пока форум прикрыл, пока не исправлю уже найденные ошибки, потом снова открою. Спасибо за помощь! ;)
|
| | | | |
при регистрации, но допускаю, что и при изменении тоже. Фильтровать надо при любом сохранении, т.ч. без разницы. 22.02.05 10:35
Автор: paganoid Статус: Member
Отредактировано 22.02.05 10:40 Количество правок: 1
|
|
кстати урлы вида javascript:blablabla тоже не фильтровались
|
| | | | | |
Спасибо, будет учтено и исправлено! ;) 22.02.05 12:18
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
|
|
|
|
Навигация страдает, есть ошибки. См посты юзера tester13 21.02.05 11:03
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
|
|
Запостил тему, и сам себе поотвечал на неё, и вот сейчас вылетел с "интернал сервер еггог" ;-) Больше зайти не могу... 21.02.05 10:43
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
